Novo Guia de Boas Práticas de adequação à Lei Geral da Proteção de Dados (LGPD)

Por Dr. Luiz Phillip N. G. Moreira e Gabriel S. Greca, advogado e Bacharel em Direito, respectivamente, do Setor de Propriedade Intelectual e Proteção de Dados.

 O Governo Federal, no dia 23 de abril de 2020, disponibilizou o seu Guia de Boas Práticas destinado à Implementação da Lei nº 13.709/2018 (“Lei Geral da Proteção de Dados” ou “LGPD”) na Administração Pública Federal, qual deverá ser adotado pelos Órgãos Públicos Federais, seguindo as diretrizes estabelecidas no Decreto nº 10.046/2019.

Tal Guia possui o objetivo de fornecer orientações de boas práticas para entidades da Administração Pública Federal para as operações de tratamento de dados pessoais, buscando parametrizar o tratamento de dados pessoais no âmbito do Poder Público.

Deste modo, o Guia começa informando que, no tratamento de dados pessoais pela Administração Pública Federal, é possível o compartilhamento de dados com outros Órgãos Públicos ou transferência de dados a terceiro fora do setor público, desde que tal compartilhamento seja autorizado legalmente pela LGPD e comunicado aos titulares dos dados.

Desta forma, o tratamento destes Dados Pessoais poderá ser realizado, desde que enquadrado em uma das hipóteses previstas no art. 7º da LGPD[1], sendo que tais hipóteses podem ser compreendidas como condições necessárias para verificar se será permitido ou não o tratamento de dados pessoais.

Tal tratamento, conforme art. 6º da LGPD, também deve observar a boa-fé e outros dez princípios, tais como: finalidade, adequação, necessidade, do livre acesso, da qualidade de dados, transparência, segurança, prevenção, não discriminação e da responsabilização e da prestação de contas.

Assim, apenas o enquadramento em uma das hipóteses legais autorizativas para se iniciar o tratamento de dados pessoais não é suficiente. A Administração Pública deverá garantir que os princípios descritos acima sejam respeitados.

Ademais, o Guia de Boas Práticas contempla os direitos a serem garantidos aos titulares de dados, decorrentes dos princípios estabelecidos na LGPD (art. 6º)[2] em direitos específicos dos titulares presentes nos demais artigos da referida Lei.

Visando auxiliar os órgãos e as entidades no processo de adequação à LGPD, o Guia elaborou um cheklist de questões fundamentais a serem verificadas pelos Órgãos Públicos para garantir a conformidade do tratamento de dados pessoais às disposições da Lei.

Tal checklist abrange a identificação das hipóteses de tratamento aplicáveis, verificação de conformidade do tratamento de dados quanto aos princípios da LGPD, especificidades para o tratamento de dados pessoais sensíveis e para o tratamento de dados de crianças e adolescentes, bem como questões como a coleta dos dados pessoais, anonimização e pseudonimização.

Vale destacar que, em virtude da LGPD (art. 23, inc. I), as pessoas jurídicas de direito público devem dar publicidade e publicar informações sobre os tratamentos de dados pessoais por elas realizados em seus websites, de forma clara e atualizada, detalhando a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução desses tratamentos.

O Guia de Boas Práticas em LGPD também traz importantes orientações quanto ao Relatório de Impacto à Proteção dos Dados Pessoais (RIPD),  documento necessário e previsto na LGPD (art. 38) para demonstração de como os dados pessoais são coletados, tratados, usados, compartilhados e quais medidas são adotadas para mitigação dos riscos envolvendo o eventual vazamento de dados.

O Guia aponta que o RIPD deve ser elaborado antes da instituição iniciar o tratamento de dados pessoais, contemplando as seguintes fases:

(i) identificação dos Agentes de Tratamento (controlador e operador) e o Encarregado da Proteção de Dados;

(ii) descrição do tratamento (sua natureza, escopo, contexto e finalidade);

(iii) identificação das partes interessadas;

(iv) descrição da necessidade e a proporcionalidade dos dados;

(v) identificação e avaliação dos riscos que geram impacto potencial sobre o titular dos dados pessoais;

(vi) identificação de medidas para tratamento dos riscos de segurança;

(vii) Emissão do RIPD e sua eventual revisão de forma continua.

Por fim, o Guia aborda diversas questões de boas práticas em segurança da informação, começando pela necessidade de privacidade desde a fase de concepção do produto ou do serviço até sua execução (Privacy by Design).

Em geral, o Guia de Boas Práticas da LGPD será aplicável aos entes da Administração Pública Federal direta e às Empresas Públicas Federais. Porém, no tocante às questões envolvendo elaboração de Relatórios de Impacto (RIPDs), elaboração de checklists e outras questões envolvendo proteção de dados, o Guia já traz orientações relevantes que podem ser adotadas também pelas empresas de forma suplementar, quando da implementação de seus Programas de Proteção de Dados.

O Guia de Boas Práticas da LGPD está disponível no novo portal oficial do Governo Federal (www.gov.br) e pode ser acessado pelo seguinte link.

[1] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

[2] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.